Implementation - Data you can trust
Privacy Centre
Implementation - Data you can trust
Bien configurer sa solution d'analytics est important.
Le RGPD, ainsi que les lois nationales dans le cadre de l’interprétation de la directive ePrivacy, régulent aujourd'hui l'utilisation faite des données personnelles, et les conditions d'utilisation des traceurs sur vos plateformes digitales.
Une mauvaise configuration peut vous exposer à des mesures des autorités de contrôle (limitation ou suppression des traitements, suppression des données, suppression de certification …), des actions de la part des utilisateurs ou des associations les représentants, des sanctions financières, mais également traiter de la donnée de mauvaise qualité.
Cette "Mise en conformité" a pour objectif de vous aider à choisir une configuration au plus proche de vos besoins, qu'ils soient métiers ou légaux (RGPD), en 4 étapes.
Vous trouverez donc ci-dessous les différentes étapes à respecter afin de vous mettre en conformité, au sein de l'Union Européenne.
Gestion du consentement
Choisir le scenario adapté
Opt-in par défaut
Le consentement n'est pas demandé.
Le visiteur est par défaut en statut "opt-in" et toute donnée peut-être transmise.
Les cookies d'identification du visiteur sont déposés sur la première page de
la visite avec une valeur unique correspondant à l'identification du visiteur.
Opt-out par défaut
Le consentement est demandé.
Jusqu'à l'obtention du consentement ("opt-in"), les visiteurs sont en statut "opt-out", exclus du trafic général, anonymisés et seulement visibles dans l'analyse Privacy sous la catégorie "opt-out". Au passage au statut "opt-in" (consentement), toutes les données peuvent être transmises.
Les cookies d'identification du visiteur sont déposés sur la première page de
la visite avec une valeur "opt-out". Une fois le consentement reçu, la valeur
du cookie changera pour une valeur unique correspondant à l'identification du
visiteur.
No consent par défaut
Le consentement est demandé.
Jusqu'à l'obtention du consentement ("opt-in"), les visiteurs sont en statut "No consent", exclus du trafic général (via option), anonymisés et seulement visibles dans l'analyse Privacy sous la catégorie "no-consent". Au passage au statut "opt-in" (consentement), toutes les données peuvent être transmises.
Les cookies d'identification du visiteur ne sont pas déposés tant que l'utilisateur n'a pas consenti. Une fois le consentement reçu, le cookie sera déposé avec une valeur unique correspondant à l'identification du visiteur.
Contrairement à la méthode "Opt-out par défaut", cette méthode permet de dissocier
dans l'analyse Privacy les visiteurs n'ayant pas consenti aux visiteurs ayant
expressement demandé une mise en "opt-out".
Matching
Le consentement est demandé.
A l'arrivée sur la plateforme (site web, app mobile, TV ...), un "visitor ID" aléatoire est attribué à la première page de la visite. Celui n'est pas stocké.
Tant que le consentement n'est pas donnée, il passe de page en page (via URL) et les pages chargées sont exclues du trafic général.
Au passage au statut "opt-in" (consentement), le "visiteur ID" passé de page en page est réutilisé et fixé pour le reste de la visite et les suivantes.
Cette méthode permet de respecter la possibilité pour l'utilisateur de consentir à n'importe quel moment de la visite, tout en vous permettant de récupérer la page d'entrée de la visite (contenant la source, par exemple) en cas de consentement.
Les cookies d'identification du visiteur ne sont pas déposés tant que l'utilisateur n'a pas consenti. Une fois le consentement reçu, le cookie sera déposé avec une valeur unique correspondant au "visitor ID" de la page d'entrée de la visite.
Exemption ePrivacy
La CNIL a été l’une des premières autorités de contrôle européennes à avoir publié des lignes directrices permettant, dans le cadre de la directive ePrivacy, de mettre en place une exemption au recueil préalable de consentement au dépôt de traceurs pour la mesure d’audience non-intrusive.
Sous réserve de respecter les conditions fixées par cette exemption, le consentement du visiteur n'est pas demandé.
La visite sera donc mesurée sous le statut "exempt" et ne collectera que les informations strictement nécessaires à la fourniture de vos services. Les cookies d'identification du visiteur sont déposés sur la première page de la visite avec une valeur unique correspondant à l'identification du visiteur.
Les visiteurs ne pourront pas être identifiés et seules les données strictement nécessaires pourront être collectées.
Les autorités de contrôles qui ont, à date, publiées des lignes directrices permettant une exemption pour la mesure d’audience :
🇮🇹 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876#english
🇱🇺 https://cnpd.public.lu/content/dam/cnpd/fr/dossiers-thematiques/cookies/CNPD-LD-Cookies.pdf
🇪🇸 https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf
🇱🇺 https://cnpd.public.lu/content/dam/cnpd/fr/dossiers-thematiques/cookies/CNPD-LD-Cookies.pdf
🇬🇧 https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/#exemptions
🇳🇱 https://wetten.overheid.nl/BWBR0009950/2021-07-01/#Hoofdstuk11
Québec http://www.assnat.qc.ca/en/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html
🇪🇺 Note that Article 8.1.d of the future ePrivacy regulation should provide an exemption for audience measurement that is RGPD compliant.
Mesure Hybride (sur la base de l’Exemption)
La Mesure Hybride constitue le meilleur des deux mondes, en vous permettant de combiner une exemption ePrivacy avec un consentement ("opt-in").
Jusqu'à l'obtention du consentement ("opt-in"), la visite sera collectée sous le statut "exempt", avec les bridages liés.
Au passage au statut "opt-in" (consentement), toutes les limites de l'exemption sont levées.
Les cookies d'identification du visiteur sont déposés sur la première page de la visite avec une valeur unique correspondant à l'identification du visiteur.
En dehors de l'Union Européenne
Hors de l'Union Européenne, de nombreuses réglementations peuvent régir l'utilisation des données personnelles et les questions relatives aux traceurs.En ce sens, il est préférable que vous vous tourniez directement vers vos services juridiques ou conseillers externes, qui sauront vous guider vers les pratiques adéquates.
Une fois celles-ci déterminées, vous pourrez consulter directement nos méthodes et options de mise en conformité.
Vous trouverez à coup sûr la configuration idéale pour vos sites et applications !
N'hésitez pas à contacter, si besoin, le support AT Internet qui saura vous accompagner sur vos problématiques Privacy."
Aller plus loin
D'autres options s'offrent à vous si vous désirez renforcer les mesures de protection de vos données Analytics.Si vous désirez anonymiser vos adresses IP, ou encore hasher vos identifiants mobiles, tournez vous vers notre article dédié.
Privacy Centre
Implementation - Data you can trust
It is important to configure your solution adequately.
The GDPR, and national laws in the framework of the interpretation of the ePrivacy directive currently govern the use of personal data and the conditions for the use of trackers on your digital platforms.
Inadequate configuration may expose you to the risk of sanctions by inspection bodies (restriction or deletion of processing, deletion of data or withdrawal of certification, etc.), actions on the part of users or consumer groups, or financial sanctions, in addition to the risk of processing low quality data.
The aim of this ‘Bringing into Compliance’ is to help you to choose, in 4 steps, a configuration which is best suited to your needs, whether professional or legal (GDPR)
Below you will find the various steps to follow in order to bring your system into compliance within the European Union.
-
1
Data Processing Agreement
Bring your system into compliance by signing a DPA, which delegates in particular the obligations and responsibilities of each party.
-
2
Data retention
Set a storage duration for your Analytics data.
-
3
Opt-Out
Comply with the GDPR by enabling your users to withdraw from monitoring.
Consent management
Choose the right scenario
Opt-in by default
Consent is not requested.
The visitor has, by default, opt-in status and all data may be transmitted.
The visitor cookie IDs are placed on the first page visited with a single value corresponding to the user ID.
Opt-out by default
Consent is requested.
Until consent is given (‘opt-in’), visitors have opt-out status, excluded from general traffic, anonymised and visible only in the Privacy analysis under the ‘opt-out’ category. Once opt-in status is obtained (consent), all data may be transmitted.
The visitor cookie IDs are placed on the first page visited with an opt-out value. Once consent is given, the cookie value will change to a unique value corresponding to the visitor ID.
No consent by default
Consent is requested.
Until consent is given (opt-in), visitors have opt-out status, excluded from general traffic (via option), anonymised and visible only in the Privacy analysis under the ‘no consent’ category. Once opt-in status is obtained (consent), all data may be transmitted.
The visitor’s cookie IDs shall not be placed until the user has consented. Once consent is given, the cookie value will change to a unique value corresponding to the visitor ID.
Contrary to the ‘opt-out by default’ method, this method separates visitors refusing consent from visitors expressly requesting opt-out in the Privacy analysis.
Matching
Consent is requested.
On arrival on the platform (website, mobile app, TV, etc.) a random visitor ID is attributed to the first page of the visit. This ID is not stored.
Until consent is granted, this ID moves from page to page (via URL) and the downloaded pages are excluded from general traffic.
When opt-in status is obtained (consent), the ‘visitor ID’ moved from page to page is reused and set for the remainder of the visit and following visits.
This method enables compliance with the user’s right to grant consent at any time of the visit, while allowing you to recover the entry page of the visit (containing the source, for example) in the case of consent.
The visitor’s cookie IDs shall not be placed until the user has consented. Once consent is given, the cookie value will be placed with a unique value corresponding to the visitor ID of the entry page of the visit.
ePrivacy Exemption
The CNIL was one of the first European supervisory authorities to publish guidelines allowing, in the framework of the ePrivacy Directive, to set up an exemption to the prior collection of consent to the deposit of trackers for non-intrusive audience measurement.
Subject to compliance with the conditions set out by this exemption, the visitor’s consent is not required.
The visit will thus be measured under the ‘exempt’ status and will collect only data which is strictly necessary to the provision of your services. The visitor cookie IDs are placed on the first page visited with a single value corresponding to the Visitor ID.
Visitors cannot be identified and only data which is strictly necessary may be collected.
The regulatory authorities that have, to date, issued guidelines allowing an exemption for audience measurement:
🇮🇹 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876#english
🇱🇺 https://cnpd.public.lu/content/dam/cnpd/fr/dossiers-thematiques/cookies/CNPD-LD-Cookies.pdf
🇪🇸 https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf
🇱🇺 https://cnpd.public.lu/content/dam/cnpd/fr/dossiers-thematiques/cookies/CNPD-LD-Cookies.pdf
🇬🇧 https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/#exemptions
🇳🇱 https://wetten.overheid.nl/BWBR0009950/2021-07-01/#Hoofdstuk11
Québec http://www.assnat.qc.ca/en/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html
🇪🇺 Note that Article 8.1.d of the future ePrivacy regulation should provide an exemption for audience measurement that is RGPD compliant.
Hybrid Measure (based on the exemption)
Hybrid Measure is the best of both worlds and enables you to combine an ePrivacy exemption with consent (opt-in)
Until consent is granted (opt-in), the visit will be collected under the ‘exempt’ status, with the relative restraints.
Once ‘opt-in’ status is obtained (consent), all exemption limits are lifted.
The visitor cookie IDs are placed on the first page visited with a single value corresponding to the Visitor ID.
Outside of the European Union
Outside of the European Union, numerous regulations may govern the use of personal data and issues related to trackers.In this respect, it is preferable to refer to your legal department or external consultants, who will guide you in the adequate practices to adopt.
Once these practices have been determined, you may refer directly to our compliance methods and options.
You are sure to find the perfect configuration for your websites and applications!
Do not hesitate to contact AT Internet support for guidance with your privacy issues."
Going further
Other options are available to you if you wish to strengthen the protection of your Analytics data.SIf you wish to anonymise your IP addresses or hash your mobile IDs, please see our dedicated article.